Tweet
Cisco vá lỗ hổng SD-WAN trong bối cảnh đã xuất hiện dấu hiệu bị khai thác thực tế
Tin tức | 16/06/2026 | Thời gian đọc: 5 phút
Cisco vừa phát hành bản vá cho một lỗ hổng trong phần mềm Cisco Catalyst SD-WAN Manager sau khi phát hiện có dấu hiệu lỗ hổng này đã bị khai thác ở mức độ hạn chế. Lỗ hổng có thể cho phép kẻ tấn công đã được xác thực tạo hoặc ghi đè các tệp trên hệ thống, từ đó có khả năng leo thang đặc quyền lên quyền root.
Lỗ hổng được định danh là CVE-2026-20262, ảnh hưởng đến giao diện web của Cisco Catalyst SD-WAN Manager (trước đây gọi là SD-WAN vManage), nền tảng mà doanh nghiệp sử dụng để quản lý các triển khai SD-WAN trên môi trường mạng phân tán.
Theo Cisco, nguyên nhân của lỗ hổng xuất phát từ việc kiểm tra không đầy đủ dữ liệu đầu vào do người dùng cung cấp trong quá trình tải tệp (file upload). Một kẻ tấn công từ xa đã được xác thực, có thông tin đăng nhập hợp lệ và ít nhất có quyền ghi (write access), có thể khai thác lỗ hổng bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt đến API bị ảnh hưởng.
Nếu khai thác thành công, kẻ tấn công có thể tạo mới hoặc ghi đè bất kỳ tệp nào trên hệ điều hành bên dưới. Các tệp này sau đó có thể được sử dụng để nâng quyền lên tài khoản root.
Cisco cho biết lỗ hổng ảnh hưởng đến tất cả các mô hình triển khai, bất kể cấu hình thiết bị, bao gồm:
Cisco khẳng định hiện không có biện pháp giảm thiểu (workaround) và khuyến nghị khách hàng nâng cấp ngay lên các phiên bản phần mềm đã được vá.
Công ty đánh giá đây là một lỗ hổng có mức độ nghiêm trọng trung bình (Medium Severity). Mặc dù không công bố chi tiết về các cuộc tấn công đã xảy ra, Cisco khuyến nghị quản trị viên kiểm tra log của SD-WAN Manager để tìm các dấu hiệu tải lên các tệp như index.jsp hoặc .war.
Quyền root có thể tạo ra rủi ro trên toàn bộ hệ thống mạng
Rủi ro của lỗ hổng này không chỉ giới hạn ở một thiết bị hay một máy chủ riêng lẻ.
Cisco Catalyst SD-WAN Manager đóng vai trò là điểm điều khiển tập trung (centralized control point) của toàn bộ môi trường SD-WAN. Vì vậy, nếu lớp quản lý này bị xâm nhập, tác động có thể lan rộng trên toàn bộ hệ thống vận hành của doanh nghiệp.
Các chuyên gia cho rằng việc bị chiếm quyền root có thể ảnh hưởng đến nhiều chi nhánh và các ứng dụng kinh doanh quan trọng.
Ông Keith Prabhu, Nhà sáng lập và CEO của Confidis, nhận định:
Theo ông, hậu quả có thể bao gồm:
Kẻ tấn công có thể thay đổi cấu hình trên hàng loạt chi nhánh
Bà Devashri Datta, nhà nghiên cứu an ninh mạng từng làm việc trong lĩnh vực quản trị bảo mật mạng tại Cisco, cho biết quyền root trên SD-WAN Manager có thể cho phép kẻ tấn công:
Điều này có thể tạo điều kiện cho lateral movement (di chuyển ngang) giữa các môi trường vốn trước đây được cô lập.
Ngoài ra, kẻ tấn công còn có thể:
Các cuộc tấn công có thể bị ngụy trang thành lỗi vận hành thông thường
Ông Akshat Tyagi, Associate Practice Leader tại HFS Research, cho biết tác động của một cuộc tấn công có thể vượt xa một sự cố bảo mật thông thường.
Những thay đổi được thực hiện thông qua giao diện SD-WAN có thể ban đầu trông giống như:
Điều này khiến các cuộc tấn công khó bị phát hiện hơn, đặc biệt khi đội ngũ an ninh chưa nhận diện được chúng là hành vi độc hại.
Mối lo lớn hơn: Rủi ro ở lớp Management Plane
Các chuyên gia nhấn mạnh rằng doanh nghiệp cần xem các lỗ hổng trong hệ thống điều phối SD-WAN như một rủi ro của Management Plane, chứ không đơn thuần là một sự kiện vá lỗi thông thường.
Ông Keith Prabhu cho biết:
Ông khuyến nghị doanh nghiệp cần xem SD-WAN Manager như một tài sản Tier-0, nghĩa là:
Cảnh báo đối với quy trình phát triển phần mềm an toàn
Theo bà Devashri Datta, các CISO không nên xem các lỗ hổng trong nền tảng điều phối mạng chỉ là một sự kiện vá lỗi định kỳ.
Ngoài ra, các bản cập nhật khẩn cấp cho hệ thống WAN toàn cầu còn tạo ra nhiều khó khăn vận hành vì doanh nghiệp phải:
Doanh nghiệp nên làm gì?
Các chuyên gia cho rằng việc vá lỗi là cần thiết nhưng chưa đủ. Doanh nghiệp nên:
để đánh giá chính xác mức độ phơi nhiễm trước khi triển khai các bản nâng cấp khẩn cấp.
Nguồn gốc bài viết: CSO.
Tin tức | 16/06/2026 | Thời gian đọc: 5 phút
Cisco vừa phát hành bản vá cho một lỗ hổng trong phần mềm Cisco Catalyst SD-WAN Manager sau khi phát hiện có dấu hiệu lỗ hổng này đã bị khai thác ở mức độ hạn chế. Lỗ hổng có thể cho phép kẻ tấn công đã được xác thực tạo hoặc ghi đè các tệp trên hệ thống, từ đó có khả năng leo thang đặc quyền lên quyền root.
Lỗ hổng được định danh là CVE-2026-20262, ảnh hưởng đến giao diện web của Cisco Catalyst SD-WAN Manager (trước đây gọi là SD-WAN vManage), nền tảng mà doanh nghiệp sử dụng để quản lý các triển khai SD-WAN trên môi trường mạng phân tán.
Theo Cisco, nguyên nhân của lỗ hổng xuất phát từ việc kiểm tra không đầy đủ dữ liệu đầu vào do người dùng cung cấp trong quá trình tải tệp (file upload). Một kẻ tấn công từ xa đã được xác thực, có thông tin đăng nhập hợp lệ và ít nhất có quyền ghi (write access), có thể khai thác lỗ hổng bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt đến API bị ảnh hưởng.
Nếu khai thác thành công, kẻ tấn công có thể tạo mới hoặc ghi đè bất kỳ tệp nào trên hệ điều hành bên dưới. Các tệp này sau đó có thể được sử dụng để nâng quyền lên tài khoản root.
Cisco cho biết lỗ hổng ảnh hưởng đến tất cả các mô hình triển khai, bất kể cấu hình thiết bị, bao gồm:
- Triển khai tại chỗ (On-Premises)
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud Managed by Cisco
- Cisco SD-WAN for Government
Cisco khẳng định hiện không có biện pháp giảm thiểu (workaround) và khuyến nghị khách hàng nâng cấp ngay lên các phiên bản phần mềm đã được vá.
Công ty đánh giá đây là một lỗ hổng có mức độ nghiêm trọng trung bình (Medium Severity). Mặc dù không công bố chi tiết về các cuộc tấn công đã xảy ra, Cisco khuyến nghị quản trị viên kiểm tra log của SD-WAN Manager để tìm các dấu hiệu tải lên các tệp như index.jsp hoặc .war.
Quyền root có thể tạo ra rủi ro trên toàn bộ hệ thống mạng
Rủi ro của lỗ hổng này không chỉ giới hạn ở một thiết bị hay một máy chủ riêng lẻ.
Cisco Catalyst SD-WAN Manager đóng vai trò là điểm điều khiển tập trung (centralized control point) của toàn bộ môi trường SD-WAN. Vì vậy, nếu lớp quản lý này bị xâm nhập, tác động có thể lan rộng trên toàn bộ hệ thống vận hành của doanh nghiệp.
Các chuyên gia cho rằng việc bị chiếm quyền root có thể ảnh hưởng đến nhiều chi nhánh và các ứng dụng kinh doanh quan trọng.
Ông Keith Prabhu, Nhà sáng lập và CEO của Confidis, nhận định:
“Quyền root trên Cisco Catalyst SD-WAN Manager có thể dẫn đến việc kiểm soát toàn bộ control plane của mạng. Điều này có thể ảnh hưởng đến thời gian hoạt động của các chi nhánh, phân đoạn lưu lượng, kết nối lên cloud, cũng như tính sẵn sàng và toàn vẹn của các ứng dụng kinh doanh quan trọng.”
Theo ông, hậu quả có thể bao gồm:
- Mất doanh thu
- Gián đoạn hoạt động do mất kết nối WAN
- Gia tăng rủi ro bảo mật
- Tăng chi phí ứng phó sự cố
- Tổn hại uy tín doanh nghiệp
Kẻ tấn công có thể thay đổi cấu hình trên hàng loạt chi nhánh
Bà Devashri Datta, nhà nghiên cứu an ninh mạng từng làm việc trong lĩnh vực quản trị bảo mật mạng tại Cisco, cho biết quyền root trên SD-WAN Manager có thể cho phép kẻ tấn công:
- Đẩy các template cấu hình phá hoại đến hàng loạt router chi nhánh.
- Xóa các chính sách (policies) cục bộ.
- Thay đổi các chính sách phân đoạn mạng (segmentation policies).
- Điều chỉnh các chính sách liên quan đến VRF (Virtual Routing and Forwarding).
Điều này có thể tạo điều kiện cho lateral movement (di chuyển ngang) giữa các môi trường vốn trước đây được cô lập.
Ngoài ra, kẻ tấn công còn có thể:
- Thay đổi chính sách điều hướng lưu lượng lên cloud.
- Làm suy giảm cơ chế Application-Aware Routing.
- Gây ảnh hưởng đến các hệ thống quan trọng như:
- ERP
- Cơ sở dữ liệu thời gian thực (Real-Time Databases)
- Các ứng dụng kinh doanh trọng yếu khác.
Các cuộc tấn công có thể bị ngụy trang thành lỗi vận hành thông thường
Ông Akshat Tyagi, Associate Practice Leader tại HFS Research, cho biết tác động của một cuộc tấn công có thể vượt xa một sự cố bảo mật thông thường.
Những thay đổi được thực hiện thông qua giao diện SD-WAN có thể ban đầu trông giống như:
- Lỗi cấu hình mạng
- Sự cố kết nối WAN
- Lỗi định tuyến lưu lượng
- Mất kết nối đến SaaS
Điều này khiến các cuộc tấn công khó bị phát hiện hơn, đặc biệt khi đội ngũ an ninh chưa nhận diện được chúng là hành vi độc hại.
Mối lo lớn hơn: Rủi ro ở lớp Management Plane
Các chuyên gia nhấn mạnh rằng doanh nghiệp cần xem các lỗ hổng trong hệ thống điều phối SD-WAN như một rủi ro của Management Plane, chứ không đơn thuần là một sự kiện vá lỗi thông thường.
Ông Keith Prabhu cho biết:
“CISA và NSA đã ban hành các hướng dẫn liên quan đến kiến trúc, mức độ phơi bày và vệ sinh Management Plane. Tin tặc đang nhắm đến bộ điều khiển SD-WAN để giành quyền kiểm soát toàn bộ fabric, bao gồm định tuyến, phân đoạn mạng và chính sách bảo mật, có thể ảnh hưởng đồng thời đến nhiều địa điểm.”
Ông khuyến nghị doanh nghiệp cần xem SD-WAN Manager như một tài sản Tier-0, nghĩa là:
- Cô lập hệ thống quản lý.
- Tăng cường bảo mật (hardening).
- Kiểm soát chặt chẽ quyền truy cập.
- Giám sát liên tục.
- Thiết kế kiến trúc với giả định rằng controller có thể bị xâm nhập.
Cảnh báo đối với quy trình phát triển phần mềm an toàn
Theo bà Devashri Datta, các CISO không nên xem các lỗ hổng trong nền tảng điều phối mạng chỉ là một sự kiện vá lỗi định kỳ.
“Khi một nền tảng liên tục xuất hiện các điểm yếu mang tính cấu trúc, chẳng hạn như kiểm tra đầu vào không đầy đủ hoặc cơ chế xác thực bị bỏ qua, điều đó cho thấy quy trình phát triển phần mềm an toàn (Secure SDLC) của nhà cung cấp đang gặp khó khăn trong việc bảo vệ các ranh giới tin cậy cốt lõi.”
Ngoài ra, các bản cập nhật khẩn cấp cho hệ thống WAN toàn cầu còn tạo ra nhiều khó khăn vận hành vì doanh nghiệp phải:
- Kiểm thử kỹ lưỡng
- Xác định thời gian thay đổi (Change Window)
- Chuẩn bị kế hoạch rollback
- Điều phối trên hạ tầng phục vụ kết nối chi nhánh và cloud
Doanh nghiệp nên làm gì?
Các chuyên gia cho rằng việc vá lỗi là cần thiết nhưng chưa đủ. Doanh nghiệp nên:
- Hạn chế truy cập vào giao diện quản lý SD-WAN.
- Bắt buộc sử dụng MFA chống phishing (phishing-resistant MFA).
- Cô lập hệ thống điều phối SD-WAN khỏi mạng doanh nghiệp thông thường.
- Thu thập và gửi liên tục telemetry từ SD-WAN Manager và Edge Router về hệ thống SIEM độc lập.
- Yêu cầu nhà cung cấp cung cấp thông tin minh bạch về chuỗi cung ứng phần mềm, bao gồm:
- SBOM (Software Bill of Materials)
- VEX (Vulnerability Exploitability eXchange)
để đánh giá chính xác mức độ phơi nhiễm trước khi triển khai các bản nâng cấp khẩn cấp.
Nguồn gốc bài viết: CSO.